限制NFS访问,设置hosts.allow和hostsdeny
配置优先级说明:
linux 系统会先检查/etc/hosts.deny规则,再检查/etc/hosts.allow规则,如果有冲突 按/etc/hosts.allow规则处理
1、添加允许访问信息(该配置优先生效)
vim /etc/hosts.allow
#配置/etc/hosts.allow文件允许192.168.2.23访问nfs
portmap:192.168.2.23
lockd:192.168.2.23
rquotad:192.168.2.23
mountd:192.168.2.23
statd:192.168.2.23
sshd:192.168.2.* #允许192.168.2.*网段通过ssh访问Linux
in.telnetd:192.168.2.24 #允许192.168.2.24通过telnet访问Linux
2、添加禁止访问信息
vim /etc/hosts.deny
#配置/etc/hosts.deny禁止所有用户访nfs的守护进程
portmap:ALL
lockd:ALL
mountd:ALL
rquotad:ALL
statd:ALL
showmount:ALL #拒绝所有IP通过showmount访问Linux
sshd:ALL #拒绝所有IP通过ssh访问Linux
sshd:192.168.11.12 #拒绝192.168.11.12地址通过ssh访问Linux的
in.telnetd:ALL #拒绝所有IP通过telnet访问Linux
#ALL:deny #拒绝所有访问,一般情况下不要配置,会造成服务器无法访问
3、hosts.allow和hostsdeny配置后立即生效,不生效需要重启对应服务
#showmount配置不生效,则重启rpcbind、nfs服务
service rpcbind restart
service nfs restart
#sshd配置不生效,则尝试重启sshd、network服务
service sshd restart
#service network restart
#telnet配置不生效,则重启xinetd服务
service xinetd restart
说明:
1.一个IP请求连入,linux的检查策略是先看/etc/hosts.allow中是否允许,如果允许直接放行;如果没有,则再看/etc/hosts.deny中是否禁止,如果禁止那么就禁止连入。
2.实验发现对/etc/hosts.allow和/etc/hosts.deny的配置不用重启就立即生效,但不管重启不重启当前已有会话都不会受影响;也就是说对之前已经连入的,即便IP已配置为禁止登录会话仍不会强制断开。不过不知是否所有Linux都一样,由此第3步标为可选。
3.网上发现有些教程写成不是sshd而是in.sshd不是in.telnetd而是telnetd的,个人觉得应该是独立启的不用加in.托管于xinetd的需要加in。
编辑于 2022-03-30 11:08 转载于:https://zhuanlan.zhihu.com/p/478391264 标签:sshd,192.168,etc,hosts,allow,Linux,NFS From: https://www.cnblogs.com/MoDian/p/16617903.html